WAARSCHUWING: Javascript bug IE 6Error gemeld aan Microsoft op 7 en 8 juni 2005 en gemeld aan Opera op 8 juni 2005
Overzicht:
De “JavaScript Ghost bug” Ik, Pascal Vyncke, heb de fout gevonden in Internet Explorer 6, in het verwerken van JavaScript in Internet Explorer 6. Mogelijk zijn alle vorige versies van Internet Explorer 6 SP2 ook kwetsbaar voor deze fout. De bug in IE6, ik noem het de "JavaScript Ghost bug", maakt het mogelijk om JavaScript op de computer van de surfer te laten uitvoeren, maar de broncode van het JavaScript kan niet worden gezien door de surfer en is ook "vergeten" door IE6. Normaal gezien is de code van een HTML pagina en ook alle JavaScript code altijd zichtbaar naar de gebruiker toe en als deze gebruiker de broncode vraagt van de internetpagina (Beeld > Bron), dan kan deze de broncode zien. Ook alle andere HTML code zoals figuren worden onzichtbaar gemaakt door deze bug. De JavaScript IE 6 exploit:
Deze fout kan totaan onverwachte resultaten opleveren voor een (onervaren) JavaScript programmeur aangezien enkel de output wordt gegeven naar de gebruiker (enkel de output van het JavaScript), maar alle andere HTML van de webpagina verdwijnt, als een geest (ghost). Deze fout is niet enkel een fout die onaangenaam kan zijn voor websitemakers, het kan ook mogelijk worden misbruikt an kan dan worden gebruikt om willekeurige JavaScript code op de gebruiker te laten uitvoeren zonder dat de gebruiker kan checken wat de JavaScript code is of doet. Ook software die op de computer staat om de gebruiker te beschermen tegen kwaadaardige scripts (zoals Norton, McAfee,... hebben) kan de JavaScript code op deze manier niet checken aangezien het originele JavaScript niet meer zichtbaar is en zelfs IE6 het "vergeten" is. Het herladen van de pagina, het printen, het opslaan,... halen niets uit. Het JavaScript wordt eenmalig uitgevoerd en kan dan niet meer worden opgevraagd en dus ook niet worden gecontroleerd. Op deze manier is het mogelijk dat alle rees gekende IE veiligheidslekken opniéuw kunnen worden uitgebuid met deze fout. Deze fout kan ook mogelijk worden misbruikt voor het verbergen van informatie voor de gebruiker. Op deze manier kan men zoekmachines misleiden. De website maker kan zoveel informatie toevoegen op de website als deze wil, extra sleutelwoorden,... Hij kan opmaak geven aan deze informatie zodat zoekmachines, zoals Google denken dat het belangrijke keywords zijn van de pagina, dit terwijl de gebruiker nooit de informatie zal zien, maar wel de output van het JavaScript programma. Ik heb al de code van de exploit gezet op de pagina, maar zonder enige extra informatie of een echt voorbeeld.
Als uw browser kwetsbaar is voor deze IE fout, dan zal je op de pagina enkel zien "The time is now xxx", waarbij xxx de datum/tijd is van het moment. Je ziet niet "Something before the JavaScript" en ook niet de tekst "Something after the JavaScript". Kijk naar de broncode (Beeld > Bron). Je ziet enkel "The time is now xxx", en je ziet géén JavaScript code, en ook niet de stukjes code die voor of achter het Javascript staan. Als je echt wil zien dat de broncode van de pagina die hierboven gelinkt is echt dezelfde code is als op deze pagina, kan je de internetpagina openen met een browser die niet gevoelig is voor de veiligheidslek, zoals Netscap, Firefox,... of open het met een ander programma, zoals Kladblok, Macromedia Dreamweaver, Microsoft Frontpage,... Ik geef deze eenvoudige JavaScript exploit zodat je kan verstaan wat deze exploit doet. Men kan deze echter gebruiken met nog andere JavaScript code die voor of zelfs erachter wordt geplaatst en zal uitgevoerd worden op de gebruiker zijn computer, en waarna ook al die andere JavaScript code als een "geest" zal verdwijnen. Deze nieuwe fout in IE6 is slecht nieuws voor Microsoft dat al zwaar onder vuur ligt omwille van de slechte veiligheid. Maar het is ook slecht nieuws voor de zoekmachines en uiteraard ook voor alle gebruikers die Internet Explorer 6 momenteel gebruiken. Mogelijk is de fout ook aanwezig in alle vorige versies van Internet Explorer van Microsoft. Wie is kwetsbaar? De kwetsbare browser : Internet Explorer 6, SP2 (met Windows XP) en mogelijk alle vorige versies Oplossing? Zet JavaScript af in Internet Explorer totdat Microsoft een veiligheidsupdate heeft gepubliceerd voor deze fout. Opmerking Deze veiligheidslek is gepubliceerd zodat iedereen de fout kent en Microsoft de fout zo snel als mogelijk kan oplossen. Een gekende veiligheidslek is minder gevaarlijk dan een totaal onbekende veiligheidslek die in het geheim wordt gebruikt door echte hackers, oplichters en bedriegers. Met vriendelijke groeten, Over de auteur |